1. Avisos de Seguridad
  2. Vulnerabilidad de Ejecución Remota sin Autenticación en Oracle E‑Business Suite. (CVE-2025-61882).
Fecha de publicación: Jue, 23/10/2025 - 11:39

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

El fallo reside en el componente Concurrent Processing de Oracle E-Business Suite (EBS), específicamente en la integración con BI Publisher. Un atacante con acceso de red vía HTTP puede, sin credenciales, explotar esta vulnerabilidad para tomar control del componente afectado.

El vector de ataque está identificado como: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.

Esta vulnerabilidad ya ha sido observada en explotación real, incluyendo campañas de extorsión dirigidas a organizaciones con EBS expuestas.

Recursos afectados

  • Oracle E-Business Suite versiones 12.2.3 hasta 12.2.14 para el producto Concurrent Processing / BI Publisher Integration.
  • Sistemas donde este módulo está accesible por HTTP desde redes externas o internas vulnerables.
  • Entornos que no han aplicado el parche del aviso de seguridad de octubre 4, 2025.

Solución

  • Aplicar inmediatamente los parches publicados por Oracle en el aviso “Security Alert Advisory – CVE-2025-61882”.
  • Verificar que la actualización del CPU (Critical Patch Update) de octubre 2025 esté completamente instalada en el entorno EBS.
  • Asegurarse de que todos los requisitos previos indicados por Oracle (por ejemplo, haber aplicado el CPU de octubre 2023) estén cumplidos.

Recomendaciones

  • Priorizar la remediación de todos los sistemas EBS 12.2.3 – 12.2.14 que estén expuestos a la red (especialmente HTTP/HTTPS públicos o internos).
  • Revisar los logs y buscar indicadores de compromiso (IOCs) publicados por Oracle, tales como direcciones IP de ataque, comandos observados, hashes de archivo indicados en el advisory. 
  • Restringir el acceso HTTP al módulo Concurrent Processing/BI Publisher Integration desde redes no confiables; implementar controles de acceso y WAF/IPS para bloquear peticiones sospechosas.
  • Actualizar las políticas de vulnerabilidad de la organización para incluir este tipo de fallos de ejecución remota sin autenticación como críticos, y tratar todos los activos exponibles con máxima prioridad.
  • Capacitar al equipo de administración de EBS para monitorear inmediatamente alertas de seguridad del proveedor Oracle.

Referencias

Oracle

NVD